Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Plusy i minusy powołania ABI (cz. III)

Zapraszamy do ostatniego z artykułów cyklu poświęconego sprawowaniu funkcji Administratora Bezpieczeństwa Informacji (ABI) po nowelizacji Ustawy o ochronie danych osobowych.

Tym razem skupimy się na rozważaniach nad plusami i minusami powołania ABI w strukturze Administratora Danych (ADO).

Zacznę od tego, że jako właściciel firmy specjalizującej się m.in. w outsourcingu funkcji ABI, mogę nie być w 100% obiektywny, wyliczając plusy i minusy powołania Administratora Bezpieczeństwa Informacji. Myślę też, że warto poznać punkt widzenia osoby, która od ponad 7 lat tworzy i obserwuje praktyczne funkcjonowanie systemów ochrony danych osobowych w biznesie i administracji publicznej.

Plusy powołania Administratora Bezpieczeństwa Informacji

 

  1. Rozdzielenie obowiązków

Zacznijmy od zadania sobie pytania, co jeśli ABI nie zostanie powołany? W sytuacji, jeżeli nie powołamy ABIego, osobą odpowiedzialną za wszystkie procesy związane z ochroną danych osobowych jest Administrator Danych, a konkretnie osoba go reprezentująca: Prezes spółki, dyrektor szkoły, wójt czy burmistrz.

W praktyce trudno wyobrazić sobie sytuację, że któraś z ww. osób osobiście nadaje upoważnienia, redaguje politykę bezpieczeństwa ochrony danych osobowych czy szkoli pracowników. Z perspektywy ADO, powołanie ABIego jest więc prostą i skuteczną formą delegowania zadań i obowiązków na inne osoby.

  1. Zwolnienie z rejestracji zbiorów

Kolejną korzyścią z powołania ABIego jest zwolnienie z obowiązku rejestracji zbiorów danych osobowych przetwarzanych przez Administratora Danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Każdy ADO, który zgłosi swojego ABIego do centralnego rejestru GIODO, nie musi już bowiem zgłaszać do GIODO bazy danych. Warto jednak pamiętać o tym, że nawet, jeśli ABI został zgłoszony – nie wystarczy to do przetwarzania danych wrażliwych. Tutaj nadal konieczne jest zgłoszenie zbioru zawierającego takie dane do GIODO (więcej o rejestracji zbiorów danych osobowych po 1 stycznia 2015 r. pisaliśmy w naszym artykule https://blog-daneosobowe.pl/rejestracja-zbiorow-danych-po-1-stycznia-2015-r/).

W omawianym wypadku ABI niejako „outsourcuje” funkcje GIODO, polegającą na prowadzeniu rejestru baz danych i zamiast zgłaszać bazy do rejestracji ewidencjonuje je w swoim rejestrze wewnętrznym (o tym jak prowadzić taki rejestr pisaliśmy w artykule https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/).

  1. Zmniejszenie ryzyka kontroli

Powołanie ABIego, może również potencjalnie zmniejszyć ryzyko kontroli GIODO. W wielu przypadkach, inspektorzy GIODO, zanim pojawią się u Administratora Danych osobiście – najpierw żądają złożenia obszernych wyjaśnień. Sam fakt powołania ABIego, działa więc w sytuacji kontroli na korzyść Administratora Danych.

Ponadto, od 1 stycznia 2015 r., GIODO posiada nową kompetencję – jeżeli ABI został powołany i wpisany do rejestru prowadzonego przez GIODO, wówczas GIODO może się do niego zwrócić o skontrolowanie Administratora Danych u którego dany ABI pełni swoją funkcję. ABI po przeprowadzeniu odpowiednich czynności sprawdzających zgodność procesu przetwarzania danych osobowych z przepisami prawa przygotowuje sprawozdanie, które następnie przedstawia Generalnemu Inspektorowi za pośrednictwem Administratora Danych. Taka kontrola jest niewątpliwie dla ADO mniej dolegliwa, bo realizuje ją sam ABI.

  1. Sygnał dla pracowników i klientów

Nie zapominajmy jednak o najważniejszym. Osoba, która wpływa na podniesienie poziomu bezpieczeństwa danych osobowych i sprawi, że uda się zapobiec choćby jednemu wyciekowi danych osobowych – to bezcenna inwestycja.

Powołując ABIego i wprowadzając go do organizacji, ADO daje wyraźny sygnał wszystkim pozostałym pracownikom – ochrona danych osobowych jest w naszym miejscy pracy ważna. Już sam ten fakt wpływa motywująco na pozostałych pracowników i sprawia, że ich podejście do tematu bezpieczeństwa danych osobowych będzie inne.

ABI pomoże również innym pracownikom przy podejmowaniu decyzji z zakresu ochrony danych osobowych. Często spotykam się z sytuacjami w których pracownicy firmy nie do końca wiedzą w jaki sposób zareagować. Czy mogą udostępnić dane osobowe w określonej sytuacji czy nie? Czy dana klauzula zgody jest wystarczająca?

ABI „zdejmie” odpowiedzialność za podjęcie decyzji związanych z ochroną danych osobowych z pozostałych pracowników. Zaoszczędzi im to dużo czasu i stresujących sytuacji.

Nie zapominajmy również o roli ABIego w wewnętrznych sporach i konfliktach. Wszędzie tam gdzie przetwarzane są dane osobowe pracowników, rola ABIego to pomoc przy znajdowaniu rozwiązań w trudnych sytuacjach. Co zrobić, kiedy część zespołu odmawia wyrażenia zgody na publikację wizerunku na stronie internetowej ADO? Jak prawidłowo zorganizować działanie intranetu, aby nie naruszyć prawa do prywatności pracowników?

Dla pracowników ważna jest świadomość, że ADO dba i respektuje ich prawo do prywatności.

Rzetelnie realizujący swoje obowiązki ABI, uprości formularze służące do zbierania danych osobowych w myśl zasady adekwatności. Takie działanie z kolei może mieć duże znaczenie w kontakcie z klientem, który obecnie bardzo sceptycznie podchodzi do skomplikowanych formularzy, wymagających podania przez niego dużej ilości informacji.

Minusy powołania Administratora Bezpieczeństwa Informacji

 

  1. Konieczność zmian w strukturze organizacyjnej ADO

Zgodnie z obowiązującymi w tym zakresie przepisami, Administrator Bezpieczeństwa Informacji musi podlegać bezpośrednio kierownikowi jednostki, a Administrator Danych powinien zapewnić mu środki oraz organizacyjną odrębność niezbędne do niezależnego wykonywania jego zadań. Dla wielu ADO może to oznaczać konieczność zmian w strukturze organizacyjnej – utworzenie nowego etatu lub zmniejszenie dotychczasowego zakresu obowiązków służbowych pracownika powoływanego do sprawowania funkcji ABI.

Co więcej Administrator Danych musi pamiętać, że powierzenie Administratorowi Bezpieczeństwa Informacji wykonywania innych obowiązków, może nastąpić jeżeli nie naruszy to prawidłowego wykonywania jego ustawowych zadań. Oznacza to, że nie każdy z pracowników ADO może zostać powołany do pełnienia funkcji ABI.

Przykładowo, ustawa nie zabrania powołania na Administratora Bezpieczeństwa Informacji w szkole jednego z nauczycieli. Należy jednak pamiętać, że osoba taka musi po pierwsze spełniać określone ustawowo wymogi, a po drugie mieć zapewnioną możliwość realizacji nałożonych na nią przez przepisy zadań. Odpowiedzialność za zapewnienie środków i organizacyjnej odrębności Administratora Bezpieczeństwa Informacji ponoszą osoby reprezentujące Administratora Danych.

  1. Dodatkowe koszty

Powołanie ABI może również oznaczać dla Administratora Danych ponoszenie dodatkowych kosztów. Wiąże się to m.in. z rozszerzeniem etatu w firmie dla pracownika pełniącego funkcję ABI, czy też wynagrodzeniem dla ABI zewnętrznego, jeżeli ADO zdecyduje się na skorzystanie z tzw. outsourcingu funkcji ABI.

  1. Dopuszczenie kolejnej osoby do cennych informacji

Minusem powoływania ABI może być również rozszerzenie kręgu osób, mających dostęp do kluczowych dla firmy informacji. Niewątpliwie, aby Administrator Bezpieczeństwa Informacji mógł w sposób prawidłowy realizować swoje zadania, musi on posiadać znaczną wiedzę na temat procesów zachodzących w strukturach ADO powiązanych z przetwarzaniem danych osobowych. Dotyczy to m.in. zawieranych przez Administratora Danych umów (ABI musi bowiem wiedzieć, czy w danym przypadku konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, czy zawarta umowa już takie postanowienia zawiera). Dopuszczenie kolejnej osoby do takich informacji może zwiększać ryzyko wycieku tych informacji poza organizację.

  1. Ujawnienie danych ABI w rejestrze GIODO

Omawiając minusy powołania ABI w organizacji, pamiętać należy również o osobach, które mają tę funkcję pełnić. Dla niektórych z pracowników minusem może okazać się fakt figurowania w jawnym rejestrze Administratorów Bezpieczeństwa Informacji prowadzonym przez GIODO (https://egiodo.giodo.gov.pl/abi_register.dhtml). Często również mają oni obawy przez rozszerzeniem ich odpowiedzialności oraz przed nałożeniem na nich dodatkowych zadań.

Warto?

Trudno na dłuższą metę mówić o minusach ABI, jako że ustawowe obowiązki są… po prostu obowiązkami, które trzeba spełnić. Dylemat nad tym czy powołać ABIego, w większości organizacji, tak naprawdę okazuje się pozorny. Ktoś i tak finalnie musi zająć się wdrożeniem dokumentacji ochrony danych osobowych oraz pozostałymi ustawowymi obowiązkami. Jedynie w mniejszych organizacjach, w których te obowiązki będzie realizował osobiście np. właściciel – niepowołanie ABIego – może być racjonalne. Wykwalifikowany ABI minimalizuje ryzyko wycieków danych oraz wszelkich innych naruszeń przepisów w zakresie ochrony danych osobowych. W dobie bardzo wyrównanej rywalizacji na rynku, każdy atut którym firma może się pochwalić przed klientami, jest na wagę złota. Koszty powołania ABI mogą zwrócić się więc bardzo szybko.

Powiązane artykuły

Jak skutecznie szkolić z ochrony danych osobowych?
Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki
Jak działają ABI w innych państwach Unii Europejskiej

1 Odpowiedź

  1. basia

    a jak wygląda kwestia administratora bezpieczeństwa danych w przedszkolu (dodam że niewielkim)? czy jest sens go wyznaczać? pracujemy na dużej ilości danych dzieci ale wszystko robimy na podstawie przepisów prawa albo decyzji organu prowadzącego więc nie ma tutaj możliwosci manewru

Zostaw odpowiedź